トレンドマイクロでは、2010年6月10日から、「open.htm」というファイルを添付し、不正サイトへと誘導するスパムメールが世界的に流通しており、日本国内においても多数の企業で受信していることを確認しています。

　弊社にて確認しているスパムメールの件名にはいくつかのバリエーションがみられます。このうち、「Microsoft Outlook Setup Notification」の件名は2009年にも確認した手口です。（Trend Micro Security Blog：2009年6月15日「国内確認、Outlook利用者を狙ったソーシャルエンジニアリング攻撃」）

Outlook利用者を狙ったケース	World Cup South Africaに便乗
図1. 件名「Outlook Setup Notification」	図2. 件名「FIFA World Cup South Africa… bad news」

　何れのケースにおいても、攻撃シナリオは同一です。本文には、「Microsoft Outlookにてメッセージを受信していること。再設定が必要であること。添付されたファイルを実行すること。」や「FIFA World Cup 2010に関するスキャンダル」などの文面が書かれています。海外では、トレンドマイクロのサポートを詐称したと考えられる「trendmicro.co.cn support」からのアカウント通知を偽装した事例も報告されています。（TrendLabs Malware Blog：2009年6月15日「Spoofed Trend Micro Alert Leads to Canadian Pharma Site」英文）

　攻撃者の狙いはこうした文面により、利用者に添付ファイルであるHTMLファイル（open.htm）に注目させ、開かせることを目的としています。

図3. 添付されたHTMLファイルの内容をテキストエディタにて確認

　このHTMLファイルには、不正なJavaScriptコードが記述されています。その危険性に気付くことなく添付ファイルを開いた場合には、攻撃者の意図する不正サイトへ転送するように設計されています。トレンドマイクロでは、その危険性からHTMLファイルに書かれているJavaScriptコードを「JS_REDIR.AD」、「JS_REDIR.VIAG」等の検出名で検出します。

　「open.htm」により転送される先（http://sho＜省略＞ar.co.uk/z.htm）には、「http://tol＜省略＞ak.com/」の他に「ru:8080」形式で指定されたリダイレクトが見られます。現時点で「ru:8080」へのリダイレクトが意図するところは不明瞭ですが、攻撃者は今後更なるウイルスの配布などを狙っていると推測されます。

　利用者のブラウザに最終的に表示されるページ「http://tol＜省略＞ak.com/」が、「Canadian Pharmacy」というオンライン薬局のサイトです。IPアドレス情報から位置情報に変換したところ、中国に位置するサーバに転送されていることを特定しています。このオンライン薬局がどのような目的で設置され、不正なサイトであるかどうかも現時点では明確にはなっていませんが、表示されるサイトの内容が元のメールに書かれていた内容とは全く異なっていることに多くの人は戸惑うのではないでしょうか。

図4. 「open.htm」を開くことで転送されるオンライン薬局のサイト

　現在、スパムメールの多くはあらゆる手をつかって、攻撃者の意図するサイトへと誘導を行います。メール本文に記載されたURL、ZIPなどの圧縮ファイル、Word/RTF/PDFなどの文書ファイル、そして今回にみられるHTMLファイルと攻撃者側が試行錯誤している様子がうかがえます。

　トレンドマイクロでは、こうした攻撃に対して、メールの送信元を評価し不正と判断されるメールサーバからのメール受信を制御する「E-mailレピュテーション」、不正なWebサイトへの接続をブロックする「Webレピュテーション」などの技術により、クラウド側で受信／感染する前にブロックする対策を提供しています。

　今回の事例においても、添付ファイルに対するウイルスパターンファイルによる検出対応、「Trend Micro Anti-Spam Engine」によるメールのコンテンツフィルタリング機能、不正サイト接続時の「Webレピュテーション」による接続制御により被害を予防できた事例が確認されています。

　もちろん、最新技術による防衛強化も重要ですが、「今後もいかなるメールにおいても、記載のURL、添付ファイルについて安易にクリックすべきではない」という心がけ面での対策も改めて徹底する必要があるといえそうです。